最近项目遇到一个有趣的App，通过简单的hook ssl绕过就能正常抓包，但是数据包里面有Sign签名，签名算法又是使用java2c 并且做了混淆，如果想要对数据包修改，就很麻烦并且还涉及到了反Frida。在这个过程中可谓是一波三折，从frida到xposed再最后到frida折来折去，过程还是学到挺多

越来越多的桌面应用程序都使用了electron 开发，再加上最近私建企x爆发了xss漏洞，只要向特定用户发送消息就可以直接rce。所以想研究一下electron安全，本文主要是将了一下electron如何开发，和一些不安全配置下的Rce条件。目前最新版本electron的rce也是主要围绕三个安全配置来操作。

一个蓝队仔的无聊休闲

在原有bypass大佬基础上增加部分内容

因项目需求，需要给 C/S 客户端应用系统做一次安全测试，特写此片文章来记录一下实战过程中所涉及的知识，欢迎各路大佬指点。

利用CF的Workers和KV实现反向代理钓鱼

一次内部攻防比赛过程记录分享，感觉还是比较有收获的，其中涉及到了代码审计、代码开发、域渗透、多层隧道渗透

越来越多的网站使用jwt了，快学学卷起来，虽然没有在实战中成功过kuku

主要介绍一种遇到了前端加密情况下工具测试方法

每当遇到加密算法的apk我们都会想到使用反编译apk包，但是现在越来越多apk都使用了加壳技术，本文主要介绍一种使用hook方式自吐加解密算法的方式

每次遇到sql注入都是各种找用法文章，在这里记录一下sql注入中，我自己最常用的代码吧

条件竞争漏洞其实就是并发漏洞，官方概念是“发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。